Všichni majitelé a správci webů, postavených na známém open-source systému WordPress, by měli aktuálně zpozornět. Je totiž velmi pravděpodobné, že v současnosti probíhá koordinovaný útok pomocí globálního botnetu „zotročených“ počítačů, které se snaží získat přihlašovací údaje k administraci špatně zabezpečených instalací WordPressu. Útok by však měl probíhat pouze za pomoci metody „brute-force“, což jednoduše znamená, že „bot“ zkouší všechny možné kombinace znaků do doby, až uspěje. Nutné je však zmínit, že oproti člověku bývá škodlivý kód značně „neúnavný“ a na svou práci má dost času.
Defaultní téma „Twenty Thirteen“ u WP 3.6 Beta 1
Pochopitelně není znám celkový rozsah zmíněného útoku, avšak je pravdou, že celosvětově oblíbený WordPress je cílem hackerů velmi často. Pro snížení rizika je tedy jistě vhodné učinit několik kroků a naprostou samozřejmostí je pochopitelně i v tomto případě nejnovější verze WP (aktuálně 3.5.1). To však v u hackování za pomoci „hrubé síly“ nijak zásadně nepomůže. Zde je hlavním opatřením silné heslo, řídící se obecně platnými bezpečnostními pravidly.
BAW More Secure Login
Ve zkratce by mělo být dostatečně dlouhé a složené z náhodné kombinace čísel, písmen a speciálních znaků. Dalším (až nezbytným) opatřením je změna výchozího jména administrátora z „admin“ na jakékoli jiné (nepředvídatelné/„neanglické“) slovo, což útočníka postaví před problém, nalézt přesnou kombinaci již dvou neznámých řetězců. V případě útoku pomocí botnetu mohou jednotlivé přístupy pocházet z různých IP adres, což dále znesnadňuje účinnou ochranu. Mezi početnými pluginy WordPressu však lze nalézt i pomůcky, které např. umožní nastavit omezený počet nezdařených pokusů o přihlášení do hodiny atd. Jako příklad lze uvést i BAW More Secure Login.
Zdroj: arstechnica.com
